Architekturen und bewährte Methoden für Microsoft Purview-Sammlungen

  • Artikel

Im Kern der einheitlichen Datengovernancelösungen von Microsoft Purview ist die Data Map eine PaaS-Komponente (Platform-as-a-Service), die eine aktuelle Zuordnung von Ressourcen und deren Metadaten in Ihrem gesamten Datenbestand speichert. Um die Datenzuordnung zu optimieren, müssen Sie Ihre Datenquellen registrieren und überprüfen. In einem organization kann es Tausende von Datenquellen geben, die entweder von zentralisierten oder dezentralisierten Teams verwaltet und verwaltet werden.

Sammlungen in Microsoft Purview unterstützen die organisatorische Zuordnung von Metadaten. Mithilfe von Sammlungen können Sie Datenquellen, Scans und Ressourcen in einer Hierarchie anstelle einer flachen Struktur verwalten und verwalten. Sammlungen ermöglichen es Ihnen, ein benutzerdefiniertes hierarchisches Modell Ihrer Datenlandschaft zu erstellen, basierend darauf, wie Ihre organization plant, Microsoft Purview zum Steuern Ihrer Landschaft zu verwenden.

Eine Sammlung bietet auch eine Sicherheitsgrenze für Ihre Metadaten in der Data Map. Der Zugriff auf Sammlungen, Datenquellen und Metadaten wird basierend auf der Auflistungshierarchie in Microsoft Purview nach einem Modell mit den geringsten Rechten eingerichtet und verwaltet:

  • Benutzer haben die Mindestmenge an Zugriff, die sie benötigen, um ihre Aufgaben zu erledigen.
  • Benutzer haben keinen Zugriff auf vertrauliche Daten, die sie nicht benötigen.

Warum müssen Sie Sammlungen und ein Autorisierungsmodell für Ihr Microsoft Purview-Konto definieren?

Erwägen Sie die Bereitstellung von Sammlungen in Microsoft Purview, um die folgenden Anforderungen zu erfüllen:

  • Organisieren Sie Datenquellen, verteilen Sie Ressourcen, und führen Sie Überprüfungen basierend auf Ihren Geschäftsanforderungen, der geografischen Verteilung von Daten und Datenverwaltungsteams, Abteilungen oder Geschäftsfunktionen durch.

  • Delegieren Sie den Besitz von Datenquellen und Ressourcen an die entsprechenden Teams, indem Sie den entsprechenden Sammlungen Rollen zuweisen.

  • Durchsuchen und Filtern von Ressourcen nach Sammlungen.

Definieren einer Sammlungshierarchie

Entwurfsempfehlungen

  • Es wird empfohlen, dass Sie Ihre Sammlungsarchitektur basierend auf den Sicherheitsanforderungen und der Datenverwaltungs- und Governancestruktur Ihrer organization entwerfen. Sehen Sie sich die empfohlenen Sammlungsarchätypen in diesem Artikel an.

  • Für die zukünftige Skalierbarkeit empfiehlt es sich, eine Sammlung auf oberster Ebene für Ihre organization unterhalb der Stammsammlung zu erstellen. Weisen Sie relevante Rollen in der Sammlung auf oberster Ebene statt in der Stammsammlung zu.

  • Berücksichtigen Sie die Sicherheits- und Zugriffsverwaltung als Teil Ihres Entwurfsentscheidungsprozesses, wenn Sie Sammlungen in Microsoft Purview erstellen.

  • Jede Auflistung verfügt über ein Name-Attribut und ein Anzeigenamen-Attribut. Wenn Sie das Microsoft Purview-Governanceportal zum Bereitstellen einer Sammlung verwenden, weist das System der Sammlung automatisch einen zufälligen, aus sechs Buchstaben bestehenden Namen zu, um Duplizierungen zu vermeiden. Um die Komplexität zu reduzieren, vermeiden Sie doppelte Anzeigenamen in Ihren Sammlungen, insbesondere in derselben Ebene.

  • Derzeit kann ein Sammlungsname bis zu 36 Zeichen enthalten, und ein Anzeigename der Sammlung kann bis zu 100 Zeichen enthalten.

  • Wenn möglich, vermeiden Sie es, Ihre Organisationsstruktur in eine tief geschachtelte Sammlungshierarchie zu duplizieren. Wenn Sie dies nicht vermeiden können, stellen Sie sicher, dass Sie für jede Sammlung in der Hierarchie unterschiedliche Namen verwenden, um die Auflistungen leicht zu unterscheiden.

  • Automatisieren Sie die Bereitstellung von Sammlungen mithilfe der API, wenn Sie planen, Sammlungen und Rollenzuweisungen in einem Massenvorgang bereitzustellen.

  • Verwenden Sie einen dedizierten Dienstprinzipalnamen (SPN), um Vorgänge für Sammlungen und Rollenzuweisungen mithilfe der API auszuführen. Die Verwendung eines SPN reduziert die Anzahl der Benutzer mit erhöhten Rechten und folgt den Richtlinien der geringsten Rechte.

Überlegungen zum Entwurf

  • Jedes Microsoft Purview-Konto wird mit einer Standardstammsammlung erstellt. Der Name der Stammsammlung ist identisch mit dem Namen Ihres Microsoft Purview-Kontos. Die Stammsammlung kann nicht entfernt werden. Um den Anzeigenamen der Stammsammlung zu ändern, können Sie den Anzeigenamen Ihres Microsoft Purview-Kontos im Microsoft Purview Management Center ändern.

  • Sammlungen können Datenquellen, Überprüfungen, Ressourcen und Rollenzuweisungen enthalten.

  • Eine Auflistung kann so viele untergeordnete Auflistungen wie erforderlich enthalten. Jede Sammlung kann jedoch nur eine übergeordnete Sammlung enthalten. Sie können keine Sammlungen oberhalb der Stammsammlung bereitstellen.

  • Datenquellen, Scans und Ressourcen können nur zu einer Sammlung gehören.

  • Eine Auflistungshierarchie in einer Microsoft Purview kann bis zu 256 Sammlungen mit maximal acht Tiefenebenen unterstützen. Die Stammauflistung ist nicht enthalten.

  • Standardmäßig können Sie Datenquellen nicht mehrmals in einem einzelnen Microsoft Purview-Konto registrieren. Diese Architektur trägt dazu bei, das Risiko zu vermeiden, einer einzelnen Datenquelle unterschiedliche Zugriffssteuerungsebenen zuzuweisen. Wenn mehrere Teams die Metadaten einer einzelnen Datenquelle nutzen, können Sie die Datenquelle in einer übergeordneten Sammlung registrieren und verwalten. Anschließend können Sie unter jeder Untersammlung entsprechende Scans erstellen, sodass relevante Ressourcen unter jeder untergeordneten Sammlung angezeigt werden.

  • Herkunftsverbindungen und Artefakte werden an die Stammsammlung angefügt, auch wenn die Datenquellen in Sammlungen auf niedrigerer Ebene registriert sind.

  • Wenn Sie eine neue Überprüfung ausführen, wird die Überprüfung standardmäßig in derselben Sammlung wie die Datenquelle bereitgestellt. Sie können optional eine andere Untersammlung auswählen, um die Überprüfung auszuführen. Daher gehören die Ressourcen zur Untersammlung.

  • Sie können eine Sammlung löschen, wenn sie keine Ressourcen, zugeordneten Überprüfungen, Datenquellen oder untergeordneten Sammlungen enthält.

  • Datenquellen, Scans und Ressourcen müssen zu einer Sammlung gehören, wenn sie in der Microsoft Purview-Datenzuordnung vorhanden sind.

  • Das Verschieben von Datenquellen zwischen Sammlungen ist zulässig, wenn dem Benutzer die Rolle Datenquelle Admin für die Quell- und Zielsammlungen gewährt wird.

  • Das Verschieben von Objekten zwischen Sammlungen ist zulässig, wenn dem Benutzer die Rolle Datenkurator für die Quell- und Zielsammlungen gewährt wird.

  • Um Verschiebungs- und Umbenennungsvorgänge für eine Sammlung auszuführen, lesen Sie die folgenden Empfehlungen und Überlegungen:

    1. Um eine Sammlung umzubenennen, müssen Sie Mitglied der Rolle "Sammlungsadministratoren" sein.

    2. Um eine Sammlung zu verschieben, müssen Sie Mitglied der Rolle "Sammlungsadministratoren" in den Quell- und Zielsammlungen sein.

Definieren eines Autorisierungsmodells

Microsoft Purview-Datenebenenrollen werden in Microsoft Purview verwaltet. Nachdem Sie ein Microsoft Purview-Konto bereitgestellt haben, werden dem Ersteller des Microsoft Purview-Kontos automatisch die folgenden Rollen in der Stammsammlung zugewiesen. Sie können das Microsoft Purview-Governanceportal oder eine programmgesteuerte Methode verwenden, um Rollen direkt in Microsoft Purview zuzuweisen und zu verwalten.

  • Sammlungsadministratoren können Microsoft Purview-Sammlungen und deren Details bearbeiten und Untersammlungen hinzufügen. Sie können benutzer auch anderen Microsoft Purview-Rollen in Sammlungen hinzufügen, in denen sie Administratoren sind.
  • Datenquellenadministratoren können Datenquellen und Datenüberprüfungen verwalten.
  • Datenkuratoren können Katalogdatenobjekte erstellen, lesen, ändern und löschen und Beziehungen zwischen Objekten herstellen.
  • Datenleser können auf Katalogdatenressourcen zugreifen, diese jedoch nicht ändern.

Entwurfsempfehlungen

  • Erwägen Sie die Implementierung des Notfallzugriffs oder einer Break-Glass-Strategie für die Rolle Sammlung Admin auf Der Microsoft Purview-Stammsammlungsebene, um Sperren auf Microsoft Purview-Kontoebene zu vermeiden. Dokumentieren Sie den Prozess für die Verwendung von Notfallkonten.

    Hinweis

    In bestimmten Szenarien müssen Sie möglicherweise ein Notfallkonto verwenden, um sich bei Microsoft Purview anzumelden. Möglicherweise benötigen Sie diese Art von Konto, um Zugriffsprobleme auf organization Ebene zu beheben, wenn sich niemand anderes bei Microsoft Purview anmelden kann oder wenn andere Administratoren bestimmte Vorgänge aufgrund von Problemen mit der Unternehmensauthentifizierung nicht ausführen können. Es wird dringend empfohlen, die bewährten Methoden von Microsoft für die Implementierung von Notfallzugriffskonten mithilfe von rein cloudbasierten Benutzern zu befolgen.

    Befolgen Sie die Anweisungen in diesem Artikel, um den Zugriff auf Ihre Microsoft Purview-Stammsammlung wiederherzustellen, wenn Ihr vorheriger Sammlungs-Admin nicht verfügbar ist.

  • Minimieren Sie die Anzahl der Stammsammlungsadministratoren. Weisen Sie maximal drei Sammlungs-Admin Benutzern in der Stammsammlung zu, einschließlich des SPN und Ihrer Break-Glass-Konten. Weisen Sie Ihre Sammlung Admin Rollen stattdessen der Sammlung der obersten Ebene oder den Untersammlungen zu.

  • Weisen Sie Gruppen anstelle einzelner Benutzer Rollen zu, um den Verwaltungsaufwand und Fehler bei der Verwaltung einzelner Rollen zu reduzieren.

  • Weisen Sie den Dienstprinzipal in der Stammsammlung zu Automatisierungszwecken zu.

  • Um die Sicherheit zu erhöhen, aktivieren Sie den bedingten Azure AD-Zugriff mit mehrstufiger Authentifizierung für mindestens Sammlungsadministratoren, Datenquellenadministratoren und Datenkuratoren. Stellen Sie sicher, dass Notfallkonten von der Richtlinie für bedingten Zugriff ausgeschlossen sind.

Überlegungen zum Entwurf

  • Die Microsoft Purview-Zugriffsverwaltung wurde in die Datenebene verschoben. Azure Resource Manager Rollen werden nicht mehr verwendet, daher sollten Sie Microsoft Purview verwenden, um Rollen zuzuweisen.

  • In Microsoft Purview können Sie Benutzern, Sicherheitsgruppen und Dienstprinzipalen (einschließlich verwalteter Identitäten) Rollen aus Azure Active Directory (Azure AD) auf demselben Azure AD-Mandanten zuweisen, in dem das Microsoft Purview-Konto bereitgestellt wird.

  • Sie müssen Ihrem Azure AD-Mandanten zunächst Gastkonten als B2B-Benutzer hinzufügen, bevor Sie externen Benutzern Microsoft Purview-Rollen zuweisen können.

  • Standardmäßig haben Sammlungsadministratoren keinen Zugriff auf Das Lesen oder Ändern von Ressourcen. Aber sie können ihren Zugriff erhöhen und sich selbst zu weiteren Rollen hinzufügen.

  • Standardmäßig werden alle Rollenzuweisungen automatisch von allen untergeordneten Sammlungen geerbt. Sie können jedoch geerbte Berechtigungen für jede Sammlung außer der Stammsammlung einschränken aktivieren. Geerbte Berechtigungen einschränken entfernt die geerbten Rollen aus allen übergeordneten Sammlungen mit Ausnahme der Rolle Sammlung Admin.

  • Für Azure Data Factory Verbindung: Um eine Verbindung mit Azure Data Factory herzustellen, müssen Sie ein Sammlungs-Admin für die Stammsammlung sein.

  • Wenn Sie eine Verbindung mit Azure Data Factory für die Herkunft herstellen müssen, weisen Sie der verwalteten Identität der Data Factory auf der Microsoft Purview-Stammsammlungsebene die Rolle Datenkurator zu. Wenn Sie Data Factory auf der Erstellungsbenutzeroberfläche mit Microsoft Purview verbinden, versucht Data Factory, diese Rollenzuweisungen automatisch hinzuzufügen. Wenn Sie über die Rolle Sammlung Admin für die Microsoft Purview-Stammsammlung verfügen, funktioniert dieser Vorgang.

Sammlungsarchätypen

Sie können Ihre Microsoft Purview-Sammlung basierend auf zentralisierten, dezentralisierten oder hybriden Datenverwaltungs- und Governancemodellen bereitstellen. Legen Sie diese Entscheidung auf Ihre Geschäftlichen und Sicherheitsanforderungen fest.

Beispiel 1: organization mit einer einzelnen Region

Diese Struktur eignet sich für Organisationen, die:

  • Sie befinden sich hauptsächlich an einem einzigen geografischen Standort.
  • Sie verfügen über ein zentralisiertes Datenverwaltungs- und Governanceteam, in dem die nächste Ebene der Datenverwaltung in Abteilungen, Teams oder Projekte fällt.

Die Auflistungshierarchie besteht aus den folgenden Vertikalen:

  • Stammsammlung (Standard)
  • Contoso (Sammlung auf oberster Ebene)
  • Abteilungen (eine delegierte Sammlung für jede Abteilung)
  • Teams oder Projekte (weitere Trennung basierend auf Projekten)

Jede Datenquelle wird in der entsprechenden Sammlung registriert und gescannt. Ressourcen werden also auch in derselben Sammlung angezeigt.

Freigegebene Datenquellen auf Organisationsebene werden in der Hub-Shared-Sammlung registriert und gescannt.

Die freigegebenen Datenquellen auf Abteilungsebene werden in den Abteilungssammlungen registriert und gescannt.

Screenshot, der das erste Beispiel für Microsoft Purview-Sammlungen zeigt.

Beispiel 2: organization für mehrere Regionen

Dieses Szenario ist für Organisationen nützlich:

  • Die in mehreren Regionen vorhanden sind.
  • Dabei ist das Datengovernanceteam in jeder Region zentral oder dezentralisiert.
  • Hier werden Datenverwaltungsteams an jedem geografischen Standort verteilt.

Die Auflistungshierarchie besteht aus den folgenden Vertikalen:

  • Stammsammlung (Standard)
  • FourthCoffee (Sammlung der obersten Ebene)
  • Geografische Standorte (Sammlungen auf mittlerer Ebene basierend auf geografischen Standorten, an denen sich Datenquellen und Datenbesitzer befinden)
  • Abteilungen (eine delegierte Sammlung für jede Abteilung)
  • Teams oder Projekte (weitere Trennung basierend auf Teams oder Projekten)

In diesem Szenario verfügt jede Region über eine eigene Untersammlung unter der Sammlung der obersten Ebene im Microsoft Purview-Konto. Datenquellen werden in den entsprechenden Untersammlungen an ihren eigenen geografischen Standorten registriert und gescannt. Daher werden Ressourcen auch in der Untersammlungshierarchie für die Region angezeigt.

Wenn Sie über zentralisierte Datenverwaltungs- und Governanceteams verfügen, können Sie ihnen Zugriff aus der Sammlung der obersten Ebene gewähren. Wenn Sie dies tun, erhalten sie den Überblick über den gesamten Datenbestand in der Datenzuordnung. Optional kann das zentralisierte Team alle freigegebenen Datenquellen registrieren und überprüfen.

Regionsbasierte Datenverwaltungs- und Governanceteams können Zugriff von ihren entsprechenden Sammlungen auf einer niedrigeren Ebene erhalten.

Die freigegebenen Datenquellen auf Abteilungsebene werden in den Abteilungssammlungen registriert und gescannt.

Screenshot, der das zweite Beispiel für Microsoft Purview-Sammlungen zeigt.

Beispiel 3: Mehrregion, Datentransformation

Dieses Szenario kann nützlich sein, wenn Sie die Verwaltung des Metadatenzugriffs basierend auf geografischen Standorten und Datentransformationszuständen verteilen möchten. Data Scientists und Data Engineers, die Daten transformieren können, um sie aussagekräftiger zu machen, können Raw- und Refine-Zonen verwalten. Anschließend können sie die Daten in die Zonen "Produce" oder "Curated" verschieben.

Die Auflistungshierarchie besteht aus den folgenden Vertikalen:

  • Stammsammlung (Standard)
  • Fabrikam (Sammlung der obersten Ebene)
  • Geografische Standorte (Sammlungen auf mittlerer Ebene basierend auf geografischen Standorten, an denen sich Datenquellen und Datenbesitzer befinden)
  • Phasen der Datentransformation (roh, verfeinern, produzieren/kuratiert)

Data Scientists und Data Engineers können die Rolle Datenkuratoren für ihre entsprechenden Zonen übernehmen, damit sie Metadaten zusammenstellen können. Der Zugriff des Datenlesers auf die kuratierte Zone kann ganzen Datenpersonas und Geschäftsbenutzern gewährt werden.

Screenshot, der das dritte Beispiel für Microsoft Purview-Sammlungen zeigt.

Beispiel 4: Mehrere Regionen, Geschäftsfunktionen

Diese Option kann von Organisationen verwendet werden, die Metadaten- und Zugriffsverwaltung basierend auf Geschäftsfunktionen organisieren müssen.

Die Auflistungshierarchie besteht aus den folgenden Vertikalen:

  • Stammsammlung (Standard)
  • AdventureWorks (Sammlung der obersten Ebene)
  • Geografische Standorte (Sammlungen auf mittlerer Ebene basierend auf geografischen Standorten, an denen sich Datenquellen und Datenbesitzer befinden)
  • Hauptgeschäftsfunktionen oder -clients (weitere Trennung basierend auf Funktionen oder Clients)

Jede Region verfügt über eine eigene Untersammlung unter der Sammlung der obersten Ebene im Microsoft Purview-Konto. Datenquellen werden in den entsprechenden Untersammlungen an ihren eigenen geografischen Standorten registriert und gescannt. Ressourcen werden also der Hierarchie der untergeordneten Sammlung für die Region hinzugefügt.

Wenn Sie über zentralisierte Datenverwaltungs- und Governanceteams verfügen, können Sie ihnen Zugriff aus der Sammlung der obersten Ebene gewähren. Wenn Sie dies tun, erhalten sie den Überblick über den gesamten Datenbestand in der Datenzuordnung. Optional kann das zentralisierte Team alle freigegebenen Datenquellen registrieren und überprüfen.

Regionsbasierte Datenverwaltungs- und Governanceteams können Zugriff von ihren entsprechenden Sammlungen auf einer niedrigeren Ebene erhalten. Jede Geschäftseinheit verfügt über eine eigene Untersammlung.

Screenshot: Viertes Beispiel für Microsoft Purview-Sammlungen

Zugriffsverwaltungsoptionen

Wenn Sie die Datendemokratisierung für eine gesamte organization implementieren möchten, weisen Sie datenverwaltungs-, Governance- und Geschäftsbenutzern die Rolle "Datenleser" in der Sammlung der obersten Ebene zu. Weisen Sie den entsprechenden Datenverwaltungs- und Governanceteams die Rollen Datenquellen-Admin und Datenkurator auf der Untersammlungsebene zu.

Wenn Sie den Zugriff auf die Metadatensuche und -ermittlung in Ihrem organization einschränken müssen, weisen Sie die Rollen Datenleser und Datenkurator auf der jeweiligen Sammlungsebene zu. Beispielsweise könnten Sie US-Mitarbeiter so einschränken, dass sie Daten nur auf DER US-Sammlungsebene und nicht in der LATAM-Sammlung lesen können.

Sie können eine Kombination dieser beiden Szenarien in Ihrer Microsoft Purview-Datenzuordnung anwenden, wenn eine vollständige Datendemokratisierung mit einigen Ausnahmen für einige Sammlungen erforderlich ist. Sie können Microsoft Purview-Rollen in der Sammlung der obersten Ebene zuweisen und die Vererbung auf die spezifischen untergeordneten Sammlungen beschränken.

Weisen Sie die Rolle Sammlung Admin dem zentralisierten Datensicherheits- und -verwaltungsteam in der Sammlung auf oberster Ebene zu. Delegieren Sie die weitere Sammlungsverwaltung von Sammlungen auf niedrigerer Ebene an die entsprechenden Teams.

Nächste Schritte